網路犯罪分子正在利用主流內容平台如 YouTube 的廣大流量與信任機制，進行大規模、高隱蔽性的惡意軟體分發活動。網路安全公司Check Point Research (CPR)曝光了「幽靈網路」（Ghost Network），這是一個高度複雜、規模龐大且以盈利為目的的「惡意軟體分發行動」，該活動傳播危險的 Lumma 和 Rhadamanthys Infostealer 惡意軟體。該網路自2021年起活躍至今，其惡意視訊輸出量在2025年激增三倍，顯示其有效性和影響範圍都出現了令人擔憂的增長。CPR 的調查已識別並報告了超過 3,000 個惡意影片，並與 Google 合作進行了大規模移除與干預這些犯罪活動。

根據CPR的分析，該網路的成功在於其先進的模組化、基於角色的結構，這種結構旨在抵禦平台封鎖。這意味著整個營運被拆分為專門的、可替換的部分（模組），其中的角色分為三大類：

1. Video-accounts：這些是主要的傳播管道，通常是由被劫持的合法頻道（有些頻道擁有大量訂閱者，例如@Afonesio1）組成的，這些頻道的原始內容會被刪除。它們隨後會上傳虛假的、教程風格的影片作為主要的誘餌。
2. Post-accounts：這些攻擊者利用YouTube等平台的社群訊息等監控較少的功能來分發更新後的下載連結和惡意檔案所需的密碼，從而確保即使影片連結被刪除，攻擊仍然有效。
3. Interact-accounts:：這些網站利用自動化機器人向評論區發送虛假的正面評價，人為地提高影片的互動量，從而製造出一種重要的合法性假象。

這個專門的部門使營運商能夠快速替換任何被封鎖的單一帳戶，而不會影響整個攻擊活動。研究中觀看次數最多的惡意影片針對的是Adobe Photoshop，觀看次數高達29.3萬次，並有54則評論。

整個操作是典型的經濟驅動型網路犯罪，其目標是鎖定那些在網路上搜尋非法數位產品的用戶，例如破解軟體（如 Adobe Photoshop、Microsoft Office）或電玩遊戲作弊程式（如 Roblox）。感染的起點是使用者點擊影片說明中的惡意連結，該連結會將他們導向託管於 Dropbox、MediaFire 或 Google Drive 等可信雲端服務上的檔案，以規避安全偵測。

接著，犯罪分子利用社會工程學技巧，誘騙受害者下載受密碼保護的檔案，更關鍵的是，會要求受害者關閉 Windows Defender 等防毒軟體。最終的有效載荷是一種危險的資訊竊取惡意軟體（主要是 Lumma Stealer，在其被干預之前，以及 Rhadamanthys Stealer），旨在竊取敏感資料，包括瀏覽器憑證、Session Cookies 和加密貨幣錢包資訊。

為了維持持久性，威脅行為者會每隔幾天迅速輪換其命令與控制（C2）基礎設施，以逃避自動偵測或黑名單封鎖。CPR 的研究結論強調了大規模操縱信任的容易程度，以及協調防禦在對抗此類威脅中的必要性，這與過去發現的 Stargazers Ghost Network 類似。

此事件提醒用戶，即使是在像 YouTube 這樣的主流平台上，也必須對來源不明的下載連結保持警惕，特別是涉及破解軟體或遊戲外掛等非法內容時。對於企業和個人用戶而言，保持防毒軟體和作業系統的更新，並對所有下載檔案保持懷疑態度，是防範此類複雜的資訊竊取網路攻擊的關鍵。